1. No escribir mensajes de
error que presenten
información que pudiera
resultar útil a los usuarios
malintencionados, como un
nombre de usuario.
Configurar la aplicación para que
no muestre errores detallados a
los usuarios. Si desea mostrar
mensajes de error detallados para
la depuración, determine primero
si quien los recibirá es un usuario
local con respecto al servidor
Web.
Utilice el elemento de
configuración para controlar
quién ve las excepciones desde
el servidor.
Crear un sistema de administración de
errores personalizado para las situaciones
que sean propensas a los errores, como el
acceso a las bases de datos.
Crear mensajesde error seguros
2. .Utilice configuración protegida para proteger la
información confidencial en archivos de configuración
como los archivos Web.config o Machine.config.
Se debe almacenar información confidencial, no lo haga
en una página Web, ni siquiera en un formato que piense
que la gente no podrá verlo
Si la aplicación transmite información confidencial entre
el explorador y el servidor, plantéese utilizar el protocolo
SSL (Secure Sockets Layer).
Mantener segurala información confidencial